SANGFOR_SSLVPN_2010年度渠道培训教材(part2)_20100123.ppt

SANGFORSSL产品培训 SANGFORTECHNOLOGIESCO LTD SSL基础介绍 SANGFORSSLVPN的各种资源 SANGFORSSLVPN基本部署 特殊应用及部署 SANGFORSSLVPN的认证方式 其它功能 SANGFORSSLVPN的整体框架 目录 SSL各种资源 资源 WEB资源 Http Mail Ftp APP资源 AllTCP IP资源 AllTCP AllUDP ICMP WEB资源 WEB资源的实现是靠设备进行协议转换 将访问的协议转换成https协议 服务器的信息先读取到设备中 再返回给客户端 WEB资源 自动替换绝对链接 如果页面中包含子链接http 172 16 1 30 则被替换成https 10 0 0 8 web 1 http 0 172 16 1 30 Webserver172 16 1 30 FTPserver172 16 1 30 Mailserver172 16 1 30 WEB资源 注 web资源只能靠点击服务页面上的链接打开 web资源无法支持页面的脚本变量 WEB资源 Web全网资源 或服务 APP资源 APP资源的实现是靠客户端的ProxyIE控件抓取访问服务器的数据并对数据进行封装 将普通的TCP连接转换成SSL数据 传到SSL网关 进行访问的 APP资源 选择不同的类型会自动列出相应的TCP端口 范围 选择 其它 然后手动填端口效果一样 注 HTTP HTTPS FTP 三种类型可以做成超链接方式 不支持IP段 IP资源 IP资源类似IPSEC原理 由虚拟网卡抓取数据包 然后由控件封装 走SSL通道传到网关 IP资源 客户端虚拟IP IP资源 路由模式 服务器接收到的数据包源IP是客户端获得的虚拟IP 适用于访问的服务器需要反向连接客户端的应用 注 使用此模式 需要保证服务器有到虚拟IP的回包路由 即指向SSL网关 SNAT模式 服务器接收到的数据包源IP是SSL网关连接服务器的接口IP 这时不需要到虚拟IP的回包路由 IP资源 LAN和DMZ口只有单网段 IP资源 LAN和DMZ区存在多网段 客户端需要通过IP服务的全网服务访问与LAN或DMZ口非直连的网段 1 多子网设置里加上需要访问的网段2 系统路由里增加对应网段的路由 资源组 在 资源 相当多的情况下 为了SSLVPN客户端可以更有条条理地显示 更方便将资源和角色关联 可以把多个 资源 添加到 资源组 在资源列表 点击不同的 资源组 显示出对应 资源 图标管理 默认资源页面 可作为默认页面的资源 WEB资源的所有类型 APP资源的HTTP和HTTPS类型 IP资源的HTTP和HTTPS类型 用户登录SSLVPN直接跳转到各自指定的资源页面 默认资源页面 a 用户组配置了服务页面 若用户继承组属性 则跳转到用户组指定的服务页面 b 用户单独配置默认服务页面 若不继承组属性 则用户指定的默认服务页面生效 默认资源页面 应用实例背景 高校应用图书馆资源 有一个学校主页 点击主页上集成多个不同链接访问不同的数据库等资源服务器 目的 全部资源列出来很乱 若隐藏起来只剩下主页 还要点击主页资源 不方便 登录后只想看到 主页 配置 1 把所有资源 包括 主页 和其他链接的资源服务器 设置好2 用户或用户组关联上所有资源3 用户或用户组把 主页 设置为默认页面 内网DNS 1 仅对SSLVPN模块生效 不影响一切外网解析2 解析优先级 系统host 内网DNS WAN口DNS SSL基础介绍 SANGFORSSLVPN的各种资源 SANGFORSSLVPN基本部署 特殊应用及部署 SANGFORSSLVPN与第三方CA结合 SANGFORSSLVPN的认证方式 其他功能 SANGFORSSLVPN的整体框架 目录 管理员分级管理 一级管理员组 二级管理员组 ROOT 管理员组 16级管理员组 管理员都能够建立用户帐号 一般电信级用户对管理员权限管理分配要求严格 要求做到分级管理的层状结构 管理员分级管理 指派用户组给管理员 指派资源 组 指派角色 管理员分级管理 资源 组 拥有者 建立资源 组 的管理员组编辑 删除 修改 能够在资源管界面中看到 使用 给角色关联资源 组 分配 把资源 组 指派给资源拥有者的下级管理员组 使其获得使用权 在管理员组编辑页面或资源 组 编辑页面均可进行 把使用权进行下发 管理员分级管理 上级管理员能够对下级管理员建立的资源组进行权限提升 让上级成为资源拥有者 只能上提 不能下调 当前资源拥有者分级情况 管理员分级管理 本级管理员组用户组建立者 上级管理员组 下级管理员组 修改 删除 指派后 修改 删除 修改 删除 上级管理组对下级管理组建立的用户组有完全控制权 修改 删除 上级把用户 组 指派给下级 下级也有完全控制权 管理员分级管理 上级管理组能对下级管理组建立的角色关联用户 用户组 仅限于角色建立者所管辖的用户 用户组 关联资源 仅限于角色建立者有使用权的资源 并能够删除角色上级把角色指派给下级 下级只可给角色关联用户 仅限本管理组所管辖的用户 用户组 管理员分级管理 删除管理组其下级管理员 组 全部被删除删除管理组 其所新建的资源 资源组 角色默认提升到上级管理组管理员不能够建立和自己平级的管理员帐号管理员默认有建立用户的权限平级管理组间不可见 各自建立的资源 用户 角色不相关 用户 组 分级管理 支持对SSL用户的分层管理 下层用户组可选择继承上级用户组的角色及组属性 认证方式和其他属性 方便管理员按照客户公司的管理架构进行权限维护 用户 组 分级管理 Root组不可以创建直属用户默认用户组不可有直属用户组用户分组深度为16级删除用户组其下级用户组和用户全部被删除 导出 导入组织架构 导出组织架构 分层结构的用户组 实现把设备的用户组结构和用户帐号进行转移 导出 导入组织架构 导入用户时 分别导入用户列表和组织架构 LDAP导入OU分层结构 1 新建一个LDAP认证的用户组 并绑定目标顶级ou2 导入OU中选则下级ou 并勾选 同步导入选中OU的上行组织架构 3 即可实现把顶级ou和下级ou的分层架构导入到新建的LDAP用户组 匿名登录 不输入用户名密码 匿名登录SSLVPN 目前能做到可选匿名登录或 强制匿名登录 勾选 连接到 匿名用户组 编辑页面 连接到 匿名用户组 角色绑定页面 匿名登录 可选匿名登录时 用户登录页面上可选是否匿名登录 勾选后 直接输入设备ip 即可登录SSLVPN 强制使用匿名登录 资源负载均衡 资源组负载均衡属性 根据权值把选举的资源服务器下发给用户 实现负载均衡 点击可实时更换服务器 资源负载均衡 置好资源组的负载均衡属性后 设备通过ping包测试资源服务器是否存活 ping不通的服务器不参与下发 必须关联自动生成的负载均衡资源 用户批量导入 从LADP服务器导入 资源导入导出 支持通过文本方式导入 导出资源 在资源特别多的环境 如高校 下 大大减轻管理员的工作量 资源名重复时把原资源覆盖 客户端权限配置 对私有用户修改个人信息的权限控制 关键文件安全保护 登录SSLVPN后 对指定资源的客户端指定文件进行锁定 一般用于C S资源 访问该资源时 被锁定的文件不能被修改 适用场景 某些oa系统有漏洞 登录认证依赖于某些文件 若替换这些文件能够绕过部分认证的情况 选择需要锁定的进程文件 路径支持系统变量方式如 ProgramFiles sangfor 目标进程文件路径下 及其子路径 的dll文件 勾选需锁定的dll文件 上述列表不存在目标文件手动选择需锁定的文件 目前只支持APP资源若用户登录SSLVPN后发现客户端的锁定文件MD5和设备上配置的不一致 则提示该资源无法使用 关键文件安全保护 主从用户名绑定 通过单点登录自动填表功能 放大镜录制 和对数据包进行解析两种方法 实现SSLVPN帐号和登录应用系统的帐号一一绑定 适用场景 稍具规模的企业由于历史问题 很多的应用系统都只利用用户名 密码来保证系统的安全性 认证强度不够大 存在访问安全漏洞 加上这些系统都已经成型已久 绝大部分的系统都不可能再利用第2次开发来提升应用系统的安全性 主从用户名绑定 数据包解析 WEB资源 APP资源 IP资源 两种主从绑定方法支持的资源范围 单点登录 APP资源 IP资源 主从用户名绑定 客户需求 通过SSLVPN登录RTX客户端 只允许使用帐号 zyw 登录 用其他帐号禁止登录 配置步骤 1 在APP或IP资源中 配置好RTX应用2 启用自动填表方式单点登录 并录制好3 关联上资源 并指定单点登录帐号 密码4 资源勾选启用主从绑定 单点登录方式 主从用户名绑定 数据包解析方法 免去前面单点登录配置步骤 勾选数据包分析 然后在下方填写 数据内容 需要有一定的数据分析基础方可配置 后续研发培训 主从用户名绑定 使用单点登录方式 不允许手动打开客户端进行访问 有警告提示必须点击资源列表上连接进行访问数据解析方式 只有当登录提交帐号 密码才会检测使用绑定以外的帐号登录资源 有警告提示 系统托盘 a 仅支持IEb 默认服务页面不影响托盘使用 关闭IE时 将IE最小化到系统托盘 系统托盘 系统托盘可以真对用户或用户组单独启用 也可以全局启用 页面定制 部分定制 部分定制 只能修改登陆SSL过程中页面的部分内容 例如页面信息 页面标题 logo 页面定制 模板设置 页面定制 高级定制 1 相当于第4套模板 设备原有3套 可以结合 信息定制 页面标题 logo 服务页面信息 使用2 定制页面保存在设备上 能随双机热备同步3 支持定制登录页面和服务页面 必须两个都定制 页面定制 设备内部3套页面模板 定制说明文档 恢复使用内置页面 方法一 模板设置 选择模板 点击 确定 方法二 点击 禁用当前定制 启用定制页面开关 客户端安全检查 安全配置 客户端安全检查 客户端安全检测 安全配置 客户端安全配置 客户端安全检测 安全配置 安全配置 客户端安全检测 安全配置 安全配置 图形校验码 软键盘 SSL专线 INTERNET VPN隧道 SSL专线 客户端接入SSL后 PC的默认路由会消失掉 同时生成到SSL设备的主机路由 操作步骤 建立用户或用户组时把 接入SVPN后禁止该用户组上网 钩上 SSL专线 登录前路由表 登录后路由表 控制台用户管理 单点登录配置 定义 缩写 SSO 单点登录 SingleSignOn 简称为SSO 就是通过用户的一次性鉴别登录 即可获得需访问系统和应用软件的授权 在此条件下 管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制 自动填表 由于目前支持SSO标准协议的应用程序不多 所以为了实现与SSO相同的功能 采用了自动填表技术 即用户在登录SSL以后 再使用单点登录的应用程序时 不需要手动输入用户名和密码 而是由自动填表服务程序自动完成用户名和密码的输入以及点击登录按钮 单点登录配置 定义 缩写 单点登录配置 对需要使用单点登录的资源启用单点登录 以outlookexpress为例 填上客户端软件的路径 单点登录配置 下载单点登录配置文件和配置助手并安装 单点登录配置 录制输入框和按钮 填写单点登录的用户名 密码 选中要录制的输入框 点击修改按钮 放大镜图像的按钮是录制按钮 单点登录配置 打开客户端软件 拖动录制按钮到需要录制的控件上 录制用户名框 可以选择跟VPN用户名相同或指定一个值 录制密码框 要勾选密码框对应的复选框 输入值可以选择跟VPN密码相同或指定一个值 然后保存 单点登录配置 录制登录按钮和前面操作类似 只是不需要填写输入值 需要自动登录就要勾选自动提交 单点登录配置 测试是否录制正确或是否支持该C S应用 选择要测试的程序 开始自动填表测试 若录制时勾选自动提交 则可以点击下一步 检测是否能自动提交 若能正确模拟点击提交按钮的操作 会提示测试成功 单点登录配置 上传单点登录配置文件 单点登录配置 点击 自动登录 即可自动调用客户端程序 并填表 单点登录配置 自动构建参数方式 单点登录配置 在线修改单点登录密码 单点登录配置 管理员修改单点登录密码 a 自动填表 方式 输入值选择 与VPN用户名相同 和 与VPN密码相同 b 自动构建访问参数 方式 websso 提交用户名 密码选择 用户可配置用户名 和 用户可配置密码 c 资源录制好后 关联上该资源即可在用户列表单独设置登录的用户名 密码 自动构建访问参数 方式支持用户名密码使用js加密 某些B S应用在登录过程中 客户端需要对上传数据 用户名或密码等 进行加密 服务器再使用相应的算法进行解密 新增功能可以支持该类应用的单点登录 单点登录配置 填写javascrip加密函数 javascrip加密函数格式 快速传输协议 1 借助控件实现采用UDP承载数据 从而起到加速效果 就是HTP或UDT2 需要用到UDP443传输 和登录HTTPS端口一致的UDP端口 若HTTPS端口更改 该UDP端口也会随之变更 快速传输协议 分为 自动选择 和 手动选择 两种方式 自动选择 可以设置条件 当网络环境符合两个条件中的一个就启用加速经测试一般情况下保留默认值最佳 测试条件 测试包个数 快速传输协议 手动选择 在登录页面上可选是否启用加速功能 直接启用不需要做条件判断 建议使用该方式 压缩 针对APP资源 针对WEB资源 多线路选路 220 101 12 21 58 23 1 34 1 访问任一IP 3 分别从两条线路加载一个文件 2 从返回页面获取地址信息 4 和最快加载完文件的线路建立VPN SSLVPN 网关部署快速选路流程 多线路选路 单臂部署快速选路流程 58 23 1 34 220 101 12 21 192 168 1 10 1 访问任一IP 我的外网IP为 58 23 1 34和220 101 12 21 2 从返回页面获取地址信息 3 分别从两条线路加载一个文件 4 和最快加载完文件的线路建立VPN SSLVPN 多线路选路 支持以下外网线路环境 1 都是固定IP2 都是域名3 部分固定IP 部分域名不支持动态IP 无法在界面上配置 配置相应的外网线路信息 点击 查看证书 简单去除安全警报 针对名称无效的问题 针对SSL证书不受IE信任的问题 SSL日志中心使用 安装SSL日志中心 SSL日志中心 配置SSL日志中心 SSL日志中心 使用SSL日志中心 SSL基础介绍 SANGFORSSLVP